FAQ sur les zones de sécurité
Questions générales
A quoi sert Oracle Cloud Infrastructure Oracle Security Zones ?
Security Zones applique l'état de sécurité sur les compartiments cloud OCI et empêche les actions susceptibles d'affaiblir l'état de sécurité d'un client. Les stratégies de Security Zones peuvent être appliquées à différents types d'infrastructure cloud (réseau, calcul, stockage, base de données, etc.) afin de garantir la sécurité des ressources cloud et d'éviter les erreurs de configuration de la sécurité.
Security Zones étend la portée de la gestion de l'état de sécurité au-delà de la surveillance et de la visibilité pour l'application active de la stratégie de sécurité basée sur les ressources. Les utilisateurs déterminent les stratégies appropriées à leurs besoins en définissant des ensembles de stratégies de Security Zones personnalisés.
Qu'est-ce qu'une recette Security Zones ? En quoi est-il différent d'une stratégie ?
Une recette de zones de sécurité est un ensemble de stratégies de zones de sécurité définies en tant que modèle pouvant être appliqué à des compartiments. Une recette de Security Zone définit un ensemble de stratégies de sécurité qui limite les actions autorisées sur les ressources cloud. Un ensemble de stratégies se compose d'au moins une instruction de stratégie de sécurité qui traite de l'état de sécurité des ressources cloud.
Qu'est-ce qu'une zone de sécurité maximale ?
La zone de sécurité maximale est une recette prédéfinie gérée par Oracle. Cette recette inclut des stratégies qui optimisent la configuration pour une situation de sécurité renforcée. Bien que la recette de zone de sécurité maximale inclut un large ensemble de stratégies de sécurité, dans la pratique, les entreprises ajustent généralement la portée des stratégies appliquées pour refléter leurs besoins spécifiques.
Puis-je avoir plusieurs zones de sécurité ?
Oui. Le nombre de zones de sécurité pouvant être créées est limité uniquement par la limite de compartiment dans votre location.
Dois-je utiliser une zone de sécurité pour être sécurisée ?
Pas nécessairement, mais les zones de sécurité peuvent être utilisées pour empêcher les modifications de configuration entraînant une détérioration de l'état de sécurité.
Que faire si je souhaite uniquement un sous-ensemble de stratégies Security Zones dans une zone de sécurité ?
Les zones de sécurité personnalisées permettent de sélectionner les stratégies de Security Zones qui s'appliquent à une zone. En outre, vous pouvez supprimer ou remplacer une zone de sécurité existante à tout moment.
Puis-je créer mes propres stratégies ?
Les clients ne peuvent pas créer leurs propres politiques. Les clients ont accès à une liste complète de stratégies fournies par Oracle. De nouvelles stratégies seront ajoutées au fil du temps.
Comment accéder aux ressources dans une zone de sécurité ?
Les ressources des zones de sécurité sont identiques à leurs équivalents en dehors d'une zone de sécurité. La seule différence réside dans l'application des stratégies de sécurité pour leurs paramètres et leur configuration. Vous pouvez accéder à ces ressources à l'aide des mêmes méthodes, outils et droits d'accès que les ressources standard.
Quelle est la priorité, la stratégie de gestion de l'accès aux identités ou la stratégie de zone de sécurité ?
Une zone de sécurité remplacera une stratégie de gestion de l'accès aux identités qui autorise l'accès. Par exemple, même si un utilisateur est autorisé à gérer un bucket, il ne peut pas définir un bucket public dans une zone de sécurité lorsque l'instruction de stratégie "Refuser les buckets publics" est appliquée.
Mes ressources peuvent-elles s'accéder entre elles dans différentes zones de sécurité ?
Security Zones ne gère pas directement les restrictions d'accès aux ressources qu'elle contient. Les ressources d'une zone de sécurité sont toujours accessibles à l'aide de toute méthode précédente utilisée, à condition que cet accès n'entre pas en conflit avec la stratégie de définition de zone de sécurité.
Si tout est si protégé, comment puis-je entrer et sortir des données d'une zone de sécurité ?
Une méthode de connexion sécurisée est requise pour franchir une limite de zone de sécurité et transférer des données. Les méthodes permettant de créer une connexion sécurisée incluent l'utilisation d'un serveur Bastion, qui peut être facilement configuré et déployé à partir de la console à l'aide d'OCI Bastion.
Quelles sont les différences entre Security Zones et Cloud Guard ?
Les zones de sécurité appliquent des stratégies de sécurité aux compartiments. Cloud Guard surveille l'état de sécurité de l'infrastructure et des applications. Avec les zones de sécurité personnalisées, Cloud Guard et les zones de sécurité ont été intégrés pour fournir une surveillance automatique de l'état de sécurité des compartiments lorsqu'une zone de sécurité est appliquée. Les problèmes détectés dans une zone de sécurité sont reflétés à la fois dans les zones de sécurité et dans les interfaces utilisateur de la console Cloud Guard.
Puis-je disposer d'une instance Autonomous Database ou d'autres services Oracle dans une zone de sécurité ?
Oui. Tout type de ressource peut être créé dans une zone de sécurité. Security Zones applique la stratégie uniquement lorsqu'un type de ressource au sein d'une zone est associé à la stratégie de zone de sécurité appliquée à un compartiment.
Combien coûte Security Zones ?
Security Zones est un service gratuit ; toutefois, les ressources d'une zone de sécurité ont leurs frais habituels.
Comment supprimer une zone de sécurité ?
Une zone de sécurité peut être enlevée à tout moment à l'aide de la console ou de l'API OCI.
Dans quelles régions le service Security Zones est-il disponible ?
Security Zones est disponible dans toutes les régions commerciales.
A quels types de base de données les stratégies de zone de sécurité s'appliquent-elles ?
Les stratégies de zone de sécurité sont appliquées à Autonomous Database, aux bases de données bare metal, aux bases de données de machine virtuelle et à Exadata. Les stratégies de zone de sécurité ne sont pas disponibles pour les bases de données Exadata Cloud@Customer.